5. Os poderes de fiscalização e auditoria do ITI como Autoridade Certificadora Raiz da ICP-Brasil
A AC-Raiz integra a cadeia de autoridades certificadoras, composta por ela própria e por todos os outros prestadores de serviços de certificação (as AC´s e AR´s), conforme já vimos. Está um nível acima de todos os demais prestadores de serviços da cadeia de certificação e, por isso, desempenha papel de órgão regulador (juntamente com o Comitê Gestor) da atividade de certificação digital.
Em razão da posição que ocupa na hierarquia da ICP-Brasil, como primeira autoridade da cadeia de certificação, sua função primordial não é a prestação de serviços de certificação para os usuários finais do sistema. Aliás, o parágrafo único do art. 5o. da MP 2.200-2 veda à AC-Raiz emitir certificados para o usuário final. Os certificados emitidos pela AC-Raiz têm como objetivo único identificar a própria AC Raiz ou as AC de nível imediatamente subseqüente ao seu. Essa função certificadora, limitada às AC´s que se situam no segundo nível da cadeia de certificação, é desempenhada em conjunto com outra, que é a de executar atividades de fiscalização e auditoria de todas as demais entidades integrantes da ICP-Brasil. Como executora das políticas de certificados e normas técnicas e operacionais aprovadas pelo Comitê-Gestor, a AC-Raiz realiza tarefa de fiscalização e auditoria das AC´s e AR´s prestadoras de serviços de certificação (art. 5o. da MP 2.200-2). Nessa tarefa de fiscalização, o ITI (que é a AC-Raiz da ICP-Brasil) pode inclusive aplicar sanções e penalidades, na forma da lei (art. 14 da MP).
As atribuições de fiscalização e auditoria do ITI, em relação às atividades dos prestadores de serviços de certificação credenciados à ICP-Brasil, são exercidas em conformidade com as normas e critérios estabelecidos pelo Comitê Gestor. As auditorias que realiza têm o objetivo de verificar se todos os processos, procedimentos e atividades das AC’s integrantes da ICP-Brasil (e suas AR’s) estão em conformidade com as suas respectivas DPC, suas Políticas de Certificado, a Política de Segurança e as demais normas e procedimentos estabelecidos para a ICP-Brasil. A freqüência das auditorias é variável e podem ser feitas previamente ao credenciamento de uma AC na ICP-Brasil ou a qualquer tempo, sem aviso prévio. Adicionalmente, as AC’s podem sofrer auditoria anualmente para fins da continuidade do credenciamento perante a ICP-Brasil.
As auditorias de conformidade verificam todos os aspectos relacionados com a emissão e o gerenciamento de certificados digitais, incluindo o controle dos processos de solicitação, identificação, autenticação, geração, publicação, distribuição, renovação e revogação de certificados. Os tópicos cobertos por uma auditoria de conformidade incluem, dentre outros: política de segurança, segurança física, avaliação de tecnologia, administração dos serviços; investigação de pessoal, PC e DPC utilizadas, contratos e considerações de sigilo.
O Comitê Gestor tem baixado várias resoluções que detalham como deve ser exercida a atividade de fiscalização pelo ITI. Dentre elas, merece destaque a Resolução n. 25, de 24 de outubro de 2003, que aprova procedimentos a serem obedecidos por este último órgão(9). Essa resolução regulamenta o art. 14 da Medida Provisória 2.200-2(10), estabelecendo que a atividade fiscalizadora do ITI tem por objetivo verificar a conformidade da atuação dos prestadores de serviços de certificação (AC’s e AR’s) com as Declarações de Práticas de Certificação (DPC’s), Políticas de Certificado, Política de Segurança e as demais normas e procedimentos estabelecidos pela ICP-Brasil (art. 2o.). Portanto, o ITI, no exercício de sua atividade de fiscalização, desenvolve procedimentos voltados a verificar o cumprimento, pelas entidades credenciadas (prestadores de serviços de certificação e prestadores de serviços de suporte), das normas e regulamentos que regem a ICP-Brasil.
A citada Resolução prevê que o procedimento de fiscalização alcançará o exame de documentos, instalações técnicas e ambiente lógico do prestador de serviço de certificação, bem como seu próprio pessoal, podendo acarretar a aplicação de uma ou mais penalidades (art. 4o.). A Resolução ainda traz regras (arts. 12 a 16) sobre o processo administrativo de fiscalização, estabelecendo prazo (de 10 dias) para defesa ou justificativa do prestador de serviços de certificação, quando constatada alguma irregularidade. Também prevê as penalidades a que fica sujeito o prestador de serviços de certificação, por infração a qualquer disposição legal ou regulamentar da ICP-Brasil ou pelo não atendimento das exigências estabelecidas pelo ITI. As penalidades previstas são as seguintes: a) advertência; b) proibição de credenciamento de novas políticas de certificado; c) suspensão da emissão de novos certificados por prazo determinado; e d) descredenciamento (art. 17). Da decisão que impõe qualquer penalidade cabe recurso (art. 19).
6. Poderes normativos do Comitê Gestor
Além dos poderes de fiscalização que são conferidos ao ITI, outros poderes atribuídos a esse órgão e ao Comitê Gestor indicam que eles, reunidos, atuam com características próprias das agências reguladoras, já que têm o poder de direcionar as atividades privadas de certificação digital de acordo com interesses públicos juridicamente definidos.
As agências reguladoras não se limitam a uma atividade de fiscalização, como se sabe. Aliás, a atividade normativa é a que mais se costuma associar à função reguladora, mas também a ela não se limita, pois as agências reguladoras costumam despenhar um conjunto mais amplo de atribuições. Como observa Luís Roberto Barroso, "embora a etimologia sugira a associação da função reguladora com o desempenho de competências normativas, seu conteúdo é mais amplo e variado. Ainda quando se aproxime, eventualmente, da idéia de poder de polícia administrativa – poder de direcionar as atividades privadas de acordo com interesses públicos juridicamente definidos–, a regulação contempla uma gama mais ampla de atribuições, relacionadas ao desempenho de atividades econômicas e à prestação de serviços públicos, incluindo sua disciplina, fiscalização, composição de conflitos e aplicação eventual de sanções(11).
Além da diversidade de atividades que as agências reguladoras desempenham, observa-se uma diversificação dessas tarefas entre cada uma delas, em função da diversidade de textos legais existentes, editados com a finalidade de normatizar diferentes setores da economia(12). Em outras palavras, o alcance e extensão das atribuições de uma agência reguladora vai depender do "marco regulatório" do respectivo setor da economia(13).
Em relação à certificação digital, a atividade de regulamentação, definindo a política de certificação e editando normas técnicas e regras operacionais sobre práticas de certificação, foi conferida de forma primária ao Comitê Gestor da ICP-Brasil (art. 4o. da MP 2.200-2). O Comitê Gestor tem, pois, uma atividade normativa no âmbito da ICP-Brasil, cumprindo ao ITI (na condição de AC-Raiz) a execução das normas e regulamentos editados pelo primeiro órgão. Mas, como existe previsão de que as funções do Comitê Gestor sejam delegadas à AC-Raiz (parágrafo único do art. 4o. da MP), mesmo essa função normativa pode ser exercida pelo ITI. Na prática, o que observa é que essa função normativa é repartida entre esses dois órgãos, editando o Comitê Gestor normas mais gerais sobre a política de certificação e de funcionamento da ICP-Brasil, enquanto que o ITI expede normas de alcance menos gerais (portarias, por exemplo)(14).
A tendência, no entanto, é que a atividade normativa fique como atribuição exclusiva do Comitê Gestor. O Projeto de Lei n. 7.316, de 2002, que dispõe sobre a prestação de serviços de certificação e define a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil, proíbe o Comitê Gestor de delegar à AC-Raiz atribuições referentes à edição de atos de caráter normativo (par. únic. do art. 14).
7. A estrutura jurídica do ITI e do CG em comparação com a das agências reguladoras tradicionais
As agências reguladoras foram introduzidas no Brasil sob a forma de autarquias e, conseqüentemente, com personalidade jurídica de direito público, sujeitas ao mandamento do art. 37, XIX da Constituiçãoe com criação dependente de lei específica.
Tal natureza é fundamental para que as agências reguladoras desempenhem com eficiência o seu papel, que consiste em intervir no domínio econômico e fiscalizar a prestação de serviços de interesse público. A natureza autárquica (como parte da administração pública indireta do Estado) confere autonomia e independência estrutural ao órgão para fins da realização de suas atribuições. As agências reguladoras, no entanto, têm um grau de autonomia em relação ao Poder central ainda maior do que as autarquias comuns. São espécies de autarquias de regime especial(15), dotadas de prerrogativas próprias conferidas pelas leis que as instituíram, de forma a aumentar seu grau de autonomia em relação ao Poder Público central.
O ITI – Instituto Nacional de Tecnologia da Informação, a quem cabe desempenhar as atividades de fiscalização e auditoria dos prestadores credenciados de serviços de certificação da ICP-Brasil, também é uma autarquia, transformada em tal pelo art. 12 da MP 2.200-2(16). Por ter natureza autárquica, o ITI pode ser dotado de todas as independências estruturais que costumam caracterizar as agências tradicionais. Embora a Medida Provisória não defina nenhum regime especial para ITI, sabe-se que ele é apenas órgão executor das políticas de certificação, que são definidas pelo Comitê Gestor da ICP-Brasil, este sim um órgão com peculiaridades na sua composição que demonstram claramente o sentido de autonomia em relação ao poder político central. O art. 3o. da MP prevê que o CG, além de representantes de ministérios, é composto por cinco representantes da sociedade civil, integrantes de setores interessados na atividade de certificação digital. A participação de representantes da sociedade no Comitê Gestor da ICP-Brasil confere-lhe uma autonomia política e de gestão, com independência em relação aos interesses estatais específicos.
O Projeto de Lei n. 7.316, de 2002, que dispõe sobre a prestação de serviços de certificação e define a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil(17), e que irá substituir a MP 2.200 como "marco regulatório" dos serviços de certificação em nosso país – o projeto prevê a sua revogação -, atribui uma composição ainda mais heterogênea ao Comitê Gestor. Não somente amplia para 16 o número de representantes da sociedade civil (integrantes de setores interessados) como prevê a participação de representantes do Senado Federal, da Câmara dos Deputados, de tribunais superiores (um do STF, um do STJ, um do TST, um do TSE e um do STM), do Ministério Público Federal.
As agências reguladoras tradicionais adotaram o modelo de formar conselhos compostos por profissionais altamente especializados em sua área, com independência em relação ao Estado. A composição do Comitê Gestor, sobretudo a que lhe é dada pelo Projeto de Lei 7.316/02, parece concorrer para a mesma finalidade.
A forma autárquica conferida ao ITI, órgão executor das políticas de certificação, e a composição híbrida do Comitê Gestor, autoridade gestora das políticas de certificação, conferem a eles autonomia estrutural e política, características próprias das agências reguladoras tradicionais.
Conclusões:
1- O "marco regulatório" da atividade de certificação digital em nosso país coincide com a edição da MP 2.200, o primeiro texto legal a disciplinar a estrutura da ICP-Brasil, mas que deverá em breve ser substituído (revogado) pelo Projeto de Lei 7.316/02, diploma de maior amplitude normativa.
2- O conjunto de atribuições que foram conferidos pela MP 2.200 ao Comitê Gestor e ao ITI demonstra que esses dois órgãos, em conjunto, desempenham tarefas que, a despeito das peculiaridades, se incluem como atividades típicas de uma agência reguladora, pois possuem poder gerencial (técnico) e de controle sobre os prestadores de serviços de certificação credenciados.
Embora o ITI e o Comitê Gestor da ICP-Brasil não tenham recebido a denominação de "órgão regulador" ou "agência reguladora", nos textos legais que constituem o marco regulatório da atividade de certificação digital no país, na prática funcionam como tal, na medida em que a atuação desses órgãos (em conjunto ou isoladamente) revela intervenção estatal junto a um setor privado, para impor normas de conduta a particulares que visem obrigá-los a atingir o bem estar coletivo.
3- O Comitê Gestor e o ITI não têm atribuição de regular a atividade de certificação digital como um todo, pois esta é livre e independe de autorização específica, mas na medida em que o art. 10 (e seus parágrafos 1o. e 2o.) da MP 2.200-2 confere validade diferenciada (maior) aos certificados expedidos no âmbito da ICP-Brasil, qualquer prestador de serviços que tiver interesse em expedir certificados com validade jurídica contra terceiros, terá que se credenciar junto a ela e, conseqüentemente, se submeter aos poderes regulatórios do Comitê Gestor e do ITI. Qualquer outra pessoa pode desenvolver uma infra-estrutura para certificação digital, mas o raio de aceitação dos certificados que expedir terão alcance e validade limitados. A ICP-Brasil é a única infra-estrutura de chaves públicas cujos órgãos a ela vinculados podem emitir certificados de aceitação e validade jurídica dentro de todo território nacional(18), o que na prática faz com que o seu Comitê Gestor e o ITI atuem como órgãos reguladores da certificação digital no país. Ademais disso, o Projeto de Lei 7.316/02 prevê que o ITI poderá fiscalizar prestadores de serviços não credenciados à ICP-Brasil.
4- A atividade regulatória sobre a ICP-Brasil é dividada entre o Comitê Gestor e o ITI, sendo que as atribuições normativas, de delineamento das regras gerais e de funcionamento (da ICP-Brasil), ficam a cargo do primeiro órgão, competindo ao segundo dar execução aos atos normativos. Enquanto não aprovado o Projeto de Lei 7.316/02, o ITI, na condição de Autoridade Certificadora Raiz, permanece com uma atividade normativa residual, naquilo que não conflita as resoluções do Comitê Gestor.
